개인정보의 암호화 기준 (개보법 및 망법)

개인정보에 대한 암호화 기준 및 참고사항을 정리해봅니다.

■ (개보법) 개인정보의 안전성 확보조치 기준  <<보기>>

제7조(개인정보의 암호화)

① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

※ 고유식별정보 암호화저장 의무: 인터넷구간, DMZ 저장시

④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.

1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
▶(행자부고시 준수필요: 개인정보 위험도 분석기준)

※ 위험도분석은 개인정보처리시스템에 적용하고 있는 개인정보보호를 위한 수단과 유출시정보주체의 권리를 침해할 위험의 정도를 「위험도 분석 기준」을 이용하여 분석하는 행위로서 개인정보파일 단위로 분석하고 결과보고서를 작성힘.  「위험도 분석 기준」은 내부망에 고유식별정보를 암호화하지 않고 저장하는 경우 개인정보처리자가 이행하여야 할 최소한의 보호조치 기준으로 어느 하나의 항목이라도 ‘아니오’에 해당하는 경우 암호화 대상임

⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

안전한 암호화알고리즘:  SEED, ARIA-128이상, LEA(국내), AES-128이상
안전한 일방향암호화알고리즘: SHA-256이상

⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.

⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

MS오피스, 한컴오피스, 알집 등에서 제공하는 암호기능 활용 가능

⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.

 

■ (망법) 개인정보의 기술적·관리적 보호조치 기준 <<보기>>

제6조(개인정보의 암호화)

① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.

② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.

1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 바이오정보

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.

 

[최신 정보보호 법규 및 고시, 지침] 리스트 및 링크

    정보보호 관련 법규 및 기준, 지침 리스트를 일부 업데이트하였습니다.   빠진 자료들이 있거나  오래된 자료가 있다면 알려주시면 업데이트 하도록 하겠습니다.  참고가 되셨으면 좋겠네요.

이번주에 KISA에서 주관하는 개인정보영향평가(PiA) 교육에 참가하면서 정보보호 관련 법규 및 지침의 최신링크를 확인해보았습니다.  자료는 국가법령정보센터와 행정안전부, KISA의 자료를 우선으로 하였습니다.

 

■  정보보호 관련 법규

정통망법 (정보통신망 이용촉진 및 정보보호 등에 관한 법률), 시행령, 시행규칙
└ 정통망법 최신버전 ( 시행 2017.7.26. ) <<보기>>
└ 정통망법 위임법령 3단비교  <<보기>>

정보통신기반 보호법, 시행령, 시행규칙 <<보기>>

■  정보보호 관련 기준, 지침, 규정, 해설서 리스트   

– 개인정보의 기술적 관리적 보호조치 기준 : 정통망법 관련 (시행 2013.2.18)  <<보기>>
└ 개인정보의 기술적 관리적 보호조치 기준 해설서 (2012-09-24)  <<보기>>

– 정보보호조치에 관한 지침_전부개정(고시 제2013-3호) (2013-01-17) <<보기>>
– 정보보호 관리체계 인증 등에 관한 고시_전부개정(고시 제2013-4호) (2013-01-18) <<보기>>
– 정보보호 사전점검에 관한 고시_제정(고시 제2013-5호)  (2013-01-17) <<보기>>

– 정보보호 관리체계(ISMS) 인증 제도 안내서 (2017.04 )  <<보기>>

 

■  개인정보보호 관련 법규 리스트 

개인정보보호 법, 시행령, 시행규칙
└ 개인정보보호법 최신버전 ( 시행 2017.10.19. ) <<보기 >>
└ 개인정보보호법 위임법령 3단비교 << 보기 >>  

– 위치정보의 보호 및 이용 등에 관한 법률 (시행 2017.7.26)  <<보기>>

■  개인정보보호 관련 기준, 지침, 규정, 해설서 리스트

– 개인정보의 안전성 확보조치 기준: 개인정보보호법 관련(  시행 2017.7.26. )  <<보기>>
└ 개인정보의 안전성 확보조치 기준 고시 및 해설서 (2015-02-17)   <<보기>>

– 개인정보영향평가에관한고시: 개인정보보호법 관련 (시행 2017.9.25)    <<보기>>  
└ 개인정보영향평가 고시 및 해설서  <<보기>>
└ 개인정보영향평가 수행안내서 (2016-04)  <<보기>>

– 개인정보 위험도 분석 기준 및 해설서 (2016-09-22)  <<보기>>

– 표준 개인정보 보호지침  (2011-09-30)  <<보기>>
– 안전행정부 개인정보보호 지침 (2013-03-25)   <<보기>>

– 정보통신서비스 제공자를 위한 개인정보보호 법령 해설서 <<보기>>

■  금융 관련 기준, 지침, 규정, 해설서 리스트

– 전자금융거래법, 시행령,  <<보기>>  
<<전자금융거래법 3단 비교>>
– 신용정보의 이용 및 보호에 관한 법률, 시행령, 시행규칙 <<보기>>

– 전자금융감독규정 <<보기>>
– 전자금융감독규정 해설서 <<보기>>

■  기타 정보보호 관련 법규 리스트 

– 부정경쟁방지 및 영업비밀보호에 관한 법률, 시행령  <<보기>>
– 산업기술의 유출방지 및 보호에 관한 법률  <<보기>>

– 전자서명법, 시행령, 시행규칙 <<보기>>
– 통신비밀보호법, 시행령 <<보기>>
– 저작권법, 시행령, 시행규칙 <<보기>>

– 클라우드컴퓨팅 주요법령 해설서 <<보기>>

개인정보영향평가의 개요 및 의무화 대상

■ 개인정보영향평가의 개요

○ 목적:  평가 대상 시스템 활용에 따른 잠재적 위험을 평가하여 개인정보  침해에 따른 피해를 줄일 수  있는지를 미리 검토·반영하여 개인정보보호
○ 대상: 공공기관: 의무, 민간기구: 자율 (권고)
○ 시기: 대상기관이 대상시스템을 구축, 운영 또는 변경하거나 연계하려는 경우
○ 근거:: 개인정보보호법 제33조

 ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.  
② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
③ 행정안전부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의ㆍ의결을 거쳐 의견을 제시할 수 있다. 
④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑤ 행정안전부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다. 
⑥ 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙대법원규칙헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑧ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.

※ 개인정보영향평가를 반드시 받아야 하는 대상은 공공기관이다.   공공기관의 범위는 법에서 아래와 같이 정의되어있다.

■ 공공기관의 범위(법 제2조제6호)

• 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령
소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
• 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
1. 「국가인권위원회법」 제3조에 따른 국가인권위원회
2. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
3. 「지방공기업법」에 따른 지방공사 및 지방공단
4. 특별법에 의하여 설립된 특수법인
5. 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교

■ 개인정보 영향평가 대상

공공부문의 경우, 전자정부 추진으로 개인정보를 대량으로 시스템화하여 상호연동하는 등, 개인정보 침해우려가 높으므로 행정정보 공유 및 전자정부 추진사업의 신뢰성을 제고하기 위하여 영향평가를 의무화하고 있으며 개인정보보호법 시행령에서 다음 각 호에 해당하는 개인정보파일에 대하여 영향평가를 하도록 의무화하고 있다.

  제33조제1항에서 “대통령령으로 정하는 기준에 해당하는 개인정보파일”이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다.  
1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
4.  제33조제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.

■ 개인정보 영향평가 시 고려사항

  제33조제2항제4호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다.
1. 민감정보 또는 고유식별정보의 처리 여부
2. 개인정보 보유기간

■ 개인정보 영향평가 시 평가기준

 개인정보보호법 시행령 제38조(영향평가의 평가기준 등)
①  제33조제6항에 따른 영향평가의 평가기준은 다음 각 호와 같다.   
1. 해당 개인정보파일에 포함되는 개인정보의 종류ㆍ성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성
2.  제24조제3항제25조제6항 및 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
3. 개인정보 침해의 위험요인별 조치 여부
4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항

 

CISO와 CPO의 역할과 책임에 관한 자료들..

구태언 변호사 -CISO CPO의 기업내 역할과 책임을 위한 제언 (PPT 24page)
(테크앤로 대표변호사)

■ CISO
-명칭: 정보보호최고 책임자
-근거: 정통망법 제45조의 3
-기업에서 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원
-금융회사는 CISO를 의무적으로 두어야 함
-총 자산 2조원 이상이면서 종업원수가 300명 이상인 금융회사는 CISO를 임원으로 임명해야 함
-기업의 경영목표를 이루기 위해 정보기술을 감독하고 전략을 세우는 것이 주 임무인 CIO와는 구별
■ CPO
– 명칭: 개인정보 보호책임자(개인정보보호법), 개인정보관리책임자(정통망법)
– 근거: 개인정보보호법 제31조, 정통망법 제27조
– 개인정보의 처리에 관한 업무를 총괄해서 책임 (개보법)
-이용자의 개인정보를 보호하고 개인정보와 관련된 이용자의 고충처리(정통망법)

[slideshare id=42521450&doc=tekcisocpotek-141209083553-conversion-gate01]

 

경업금지약정의 유효성에 대하여

경업금지약정을 체결하는 것만으로 그 약정이 무조건 유효하게 되는 것이 아닙니다.
경업금지약정이 유효요건으로 인정될 수 있도록 해야 하고, 영업비밀로서의 요건을 갖추어야 할 필요가 있습니다.

■ 경업금지 기간의 적성성
최근에는 경업금지기간을 정하더라도 1-2년(주로 1년) 정도로 제한하는 경우가 많습니다.

주로 보호할 가치 있는 사용자의 이익 등 제반 사정을 고려하여 약정한 경업금지기간이 과도하게 장기라고 인정될 때에는 적당한 범위(5년간의 경업금지약정을 3년간으로 제한하거나 3년간의 경업금지약정을 1년간으로 제한하는 등)로 경업금지기간을 제한하는 것이 판례의 입장입니다.

–> 경업금지제한기간에 관한 구체적인 실태조사가 나와 있지는 습니다. 다만 판례상 6개월133) 또는 2년,134) 3년,135) 5년,136) 그리고 제한기간이 없는 경우 등 다양한 추측은 할 수는 있을 뿐입니다. 해석론상 이러한 경업금지기간이 부당하게 장기간이어서는 안됩니다. 즉,영업비밀·고객관계 등에서 유효기간에 맞추어 합리적으로 설정되어야 합니다

***제한기간의 합리성에 대한 판단기준
① 사용자가 해당 기밀정보를 얻는데 걸린 기간,
② 근로자가 특정한 영업면허를 갖고 있을 경우 해당 근로자의 자리에 대신하여 채용된 근로자가 영업면허를 얻어 영업의 기초를 습득하는데 필요한 기간,
③근로자가 특정한 고객층과 고객관계를 갖고 있었을 경우 고객이 더이상 해당 근로자와의 관계에 기초하여 거래를 하지 않게 되는 기간 등

■ 경업금지약정을 무효로 보는 경우
– 경업금지 내지 전직금지 약정의 본질적 내용이라고 할 수 있는 금지기간, 금지지역, 금지대상 업종 어느 것도 특정되지 않은 경우
– 보호할 가치 있는 사용자(회사)의 이익이 별로 없는 경우

■ 경업금지를 시킬 수 있는 법적 근거
– 근로자와 사용자의 경업금지특약(계약에 의한 경우)
– 부정경쟁방지 및 영업비밀 보호에 관한 법률

■ 부정경쟁방지법상 영업비밀임을 전제로 금지청구를 하기 위한 조건
– 영업비밀로서의 요건을 갖추어야 함

공연히 알려져 있지 아니하고 독립된 경제적 가치를 가지는 것으로서
상당한 노력에 의하여 비밀로 유지된 생산방법, 판매방법 그 밖에 영업활동에 유용한 기술상 또는 경영상의 정보

– 금지청구를 하는 과정에서 그 영업비밀을 특정 해야 함

■ 경업금지약정의 유효성 문제

Q.경업금지특약이 있으면 그 약정이 아무런 제한 없이 유효한가?

대법원 입장:사용자와 근로자 사이에 경업금지약정이 존재한다고 하더라도, 그와 같은 약정이 헌법상 보장된 근로자의 직업선택의 자유와 근로권 등을 과도하게 제한하거나 자유로운 경쟁을 지나치게 제한하는 경우에는 민법 제103조에 정한 선량한 풍속 기타 사회질서에 반하는 법률행위로서 무효이다

–> 경업금지 특약의 유효요건 등에 관한 판단의 근거는 아래와 같은 것들이 포함됩니다.
-보호할 가치 있는 사용자의 이익, 근로자의 퇴직 전 지위, 경업 제한의 기간·지역 및 대상 직종
근로자에 대한 대가의 제공 유무, 근로자의 퇴직 경위, 공공의 이익 및 기타 사정 등을 종합적으로 고려

* ‘보호할 가치 있는 사용자의 이익’
– 부정경쟁방지 및 영업비밀보호에 관한 법률 제2조 제2호에 정한 ‘영업비밀’
– 그 정도에 이르지 아니하였더라도 당해 사용자만이 가지고 있는 지식 또는 정보로서 근로자와 이를 제3자에게 누설하지 않기로 약정한 것
– 고객관계나 영업상의 신용의 유지

■ 경업금지관련 판결 사례
경업금지약정이 실질적 합리성을 결여하여 무효라고 설시한 하급심 판결
(수원지방법원 2009. 6. 18. 선고 2008가단113970 판결, 이하 ‘대상판결’).

청구내용: A 회사는 해당 직원들의 입사시 “A 회사에서 취득한 영업비밀을 누설하지 않고, 퇴직 후 2년간 동종업종의 창업 및 취업을 제한한다”라는 내용의 비밀준수서약서를 근거로 위약금을 청구하였습니다.

판결: 법원은 비밀준수서약서상 경업금지약정은 실질적 합리성이 없어서 무효라고 판단하였습니다.
구체적으로, 법원은
① A회사의 국내거래선 정보가 영업비밀 등 보호가치 있는 이익이라 보기 어려운 점
② 대상조치가 없는 점
③ 퇴직 경위(강등 이후 퇴직)
④ 지역적 범위가 넓고 대상직종이 막연히 기재되어 있는 점
⑤ 퇴직근로자의 경력, 담당업무와 직책, 직업선택의 자유와 생계활동의 제한 정도 등
모든 사정을 종합할 때, 본 사안의 경업금지약정은 퇴직근로자들에게 일방적으로 아무런 제한 없이 2년간 경업금지의무만을 부과하고 있어 민법 제103조에 위반되므로 효력을 인정할 수 없다고 판단하였습니다

참조:
http://service4.nis.go.kr/board?cmd=download&cd_code=industrial&no_idx=37&fileidx=1
http://daejong.tistory.com/343
http://www.yulchon.com/KOR/publication/view.asp?CD=980&CM=PG1&searchKey=all&searchVal=%EC%A1%B0%EC%83%81%EC%9A%B1

전자금융감독규정 일부개정규정안 공고

2015년 05월 19일자로 금융위원회에서 전자금융감독규정 일부개정규정안이 공고되었습니다.

개정 이유는 핀테크 등 신기술 및 서비스의 활성화 및 IT 중소기업의 진입장벽 완화, 금융회사 및 전자금융업자의 과도한 규제부담 완화 등이 목적이며 주요 개정 내역은 아래와 같습니다.

가. 신규 전자금융업무 제공ㆍ시행시에는 금융감독원 보안성심의가 아닌 금융회사 등의 자체 보안성심의로 갈음(제36조 개정)

금융감독원 주도의 보안성심의가 금융회사에 과도한 부담을 지우고, 금융회사의 자체적인 보안 수준 확보 노력을 저해함에 따라 신규 전자금융업무 시행에 대해서는 금융감독원 보안성심의가 아닌 자체 보안성심의로 보안 수준 점검 의무를 갈음

나. 금융회사 등의 IP주소 관리대책 개선(안 제18조)

정보처리시스템의 업무 특성별로 네트워크를 분리하여 IP주소를 사용하도록 하였으나, 네트워크 분리가 불가능한 경우가 상존하는 바 이 경우 접근권한을 분리하여 IP주소를 사용할 수 있도록 함
-> ex: 아웃소싱 인력과 협업으로 시스템 개발을 하는 경우 등

다. 재해복구센터의 복구목표시간 조정(안 제23조)

현재 재해복구센터의 복구목표시간은 일률적으로 3시간으로 정해져 있는 바 이를 업무 지속성 확보의 중요도를 분석하여 금융회사가 탄력적으로 정할 수 있도록 함
-> 업무영향분석에 따라 정하되 핵심업무에 한하여 3시간 (보험업은 24시간)으로 규정

라. 전자금융업자의 부채비율 산정 기준 개선(안 제51조)

전자금융업자 부채비율 산정시 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제10호에 따른 통신과금서비스 업무 영위에 따른 일시 보관 금액을 부채총액에서 차감하는 것임을 명확히 하여 전자금융업 등록상 불필요한 혼란을 제거

특히, 연초부터 알려졌던 보안성 심의 폐지(축소)와 관련하여, 지난 2월 개정에 금번 개정을 더해 보안성 심의와 관련한 금융위/금감원 내부 정책이 다음과 같이 확정되는 것으로 보입니다.

■ 금융위원회 보안성 심의 요청 대상
1. 전산실을 신규로 설치·이전하거나 재해복구센터를 구축하는 경우
2. 외국금융회사의 전산시설에 대한 해외 설치·이전 및 공동이용을 하는 경우
자체 보안성 심의 대상
1. 정보통신망을 이용하여 이용자를 대상으로 신규 전자금융업무를 수행하고자 하는 경우

이번 개정안이 적용될 경우 전자금융감독규정 보안성 심의 관련 조항은 아래와 같습니다.

제36조(보안성심의)
① 금융회사 또는 전자금융업자는 보안성 확보가 필수적인 다음 각 호의 어느 하나에 해당하는 경우 <별지 제1호 서식>에 따라 사업계획단계에서 금융감독원장에게 보안성심의를 요청하여야 하며, 금융감독원장은 보안성심의를 위한 세부기준과 절차를 정할 수 있다. <개정 2013.12.3.>
1. 전산실을 신규로 설치·이전하거나 재해복구센터를 구축하는 경우
2. 외국금융회사의 전산시설에 대한 해외 설치·이전 및 공동이용을 하는 경우 <개정 2013.12.3.>

② 금융회사 또는 전자금융업자는 정보통신망을 이용하여 이용자를 대상으로 신규 전자금융업무를 수행하고자 하는 경우 금융감독원장이 정하는 기준과 절차에 따라 자체적으로 보안성심의를 실시하여야 한다.
③ 금융회사 또는 전자금융업자는 제2항에 따른 심의(이하 “자체 보안성심의”라 한다)를 마친 후 신규 전자금융업무가 제공 또는 시행된 날로부터 7일 이내에 금융감독원장이 정하는 자체 보안성심의 결과보고서를 금융감독원에 제출하여야 한다. 다만, 신규 전자금융업무가 제공 또는 시행된 날을 기준으로 과거 1년 이내에 전자금융사고가 발생하지 않은 기관으로서 금융감독원장이 정하는 기준에 해당하는 금융회사 또는 전자금융업자는 그러하지 아니하다.
④ 금융감독원장은 제3항에 따라 제출받은 자체 보안성심의 결과보고서를 검토한 결과, 신규 전자금융업무의 보안수준이 충분하지 않다고 인정되는 경우에는 금융회사 또는 전자금융업자에 대하여 개선ㆍ보완을 요구할 수 있다.
⑤ 제1항 및 제2항에도 불구하고 다음 각 호의 기관은 금융감독원장의 보안성심의 및 자체 보안성심의를 요하지 않는다.
1. 「우체국예금ㆍ보험에 관한 법률」에 의한 체신관서
2. 「새마을금고법」에 의한 새마을금고 및 새마을금고중앙회
3. 「한국수출입은행법」에 따른 한국수출입은행
4. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관

개인정보보호 교육의 년 2회 실시에 대한 법적 근거

Q. 개인정보보호 교육을 의무적으로 연  2회 실시해야 한다고 하는데 법적 근거가 무엇인가요?

A. 정통망법 고시인 개인정보의 기술적·관리적 보호조치 제3조 2항에서  “정보통신제공자는 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하라“고 명시하고 있습니다.  개인정보보호법 제 28조 2항에서도 “개인정보처리자는 개인정보취급자에게 정기적으로 필요한 교육을 실시하라” 라고 명시하고 있기는 하지만 횟수를 지정하지는 않고 있습니다.

■  정통망법 근거
법 적용 대상: 정보통신서비스 제공자
   교육 대상: 개인정보관리책임자 및 개인정보취급자
교육주기:  연 2회:
근거:  정통망법 고시 (개인정보의 기술적·관리적 보호조치 기준)

개인정보의 기술적 관리적 보호조치 기준 : <<보기>>
[방송통신위원회고시 제2012-50호, 2012.8.23., 일부개정] )
제3조(내부관리계획의 수립·시행)
② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다.
1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법

 

 

■ 개인정보보호법 근거
   법 적용 대상:  개인정보처리자 (개인정보를 취급하는 모든 회사,기관)
   교육 대상: 개인정보취급자
교육주기:  정기적
근거:  개인정보보호법

개인정보보호 법, 시행령, 시행규칙
└ 개인정보보호법 최신버전  <<보기 >>
제28조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)에 대하여 적절한 관리·감독을 행하여야 한다.
② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다. 

암호기술 관련 안내서 보기

암호관련 정책을 수립하거나 개정할 때 참고하셔야 할 KISA의 암호이용관련 안내서들입니다.  참고하시기 바랍니다.

■ 암호이용 안내서  다운로드 (개인정보보보 종합포털) (2010년 08월 31일 게시)
– 암호이용 안내서 다운로드하기: <<다운로드>>

■ 암호기술 구현 안내서  다운로드 (KISA) (2013.12)
– KISA 게시물보기:  << 암호소개>안내서> 암호기술 구현안내서 >>
– 안내서 다운로드 하기:    << 암호기술 안내서 개정판(2013년 12월)>>

■ 개인정보 암호화 조치 안내서  다운로드 (개인정보보보 종합포털) (2011년 11월 29일 게시)
– 개인정보 암호화 조치 안내서 다운로드  << 다운로드>>

ISMS 인증신청서 변경 및 가이드라인(v1.7) 공지

 

ISMS 인증신청서가 변경되었습니다.  변경된 신청서 양식은 ISMS 4월 심사예정인 기업부터 적용된다고 합니다.  참고하시기 바랍니다.

■   변경사항

1. 인증심사 담당자 연락처 추가 : 정보보호 책임자/정보보호 담당자
2. 컨설팅 정보 추가 : 업체/기간/담당자
3. 인증 심사장 장소 추가
4. 전체 서비스 중 인증범위에서 제외된 서비스에 대한 사유 입력
5. 사업자 구분 추가(인증희망 이유, 의무대상여부, 의무대상 기준)

6. 2개월 이상 구축․운영 증빙자료 : 컨설팅 완료보고서 삭제 / 타 증적 자료 첨부(내용참고)


■   KISA홈페이지 자료실에서 ISMS인증신청 가이드라인 v1.7 다운로드

URL : http://isms.kisa.or.kr/kor/notice/dataView.jsp?p_No=48&b_No=48&d_No=122&cgubun=&cPage=1&searchType=ALL&searchKeyword=

 

image

■   제출서류

1. 정보보호 관리체계 인증신청서
2. 정보보호 관리체계 명세서
※ 2개월 이상 구축/운영 사실 및 업체 자가 진단결과(대책명세서) 포함
3. 법인사업자등록증 1부

PIMS(개인정보보보 관리체계) 인증 신청 가이드라인이 개정 공지되었습니다.

2013년 개인정보보호 관리체계 인증(PIMS) 고시 제정 및 심사기준 개정 등에 따라 개인정보보호 관리체계 인증 신청 가이드라인(v1.2)이 KISA 홈페이지에 공지되었습니다.  참고하시기 바랍니다.

■   변경사항

1. 인증심사 담당자 연락처 추가 : CPO/개인정보보호 책임자/개인정보 담당자
2. 컨설팅 정보 추가 : 업체/기간/담당자
3. 인증심사장 장소 추가
4.  전체 서비스중 인증범위에서 제외된 서비스에 대한 사유 입력
5. 2개월 이상 구축․운영 증빙자료 : 컨설팅 완료보고서 삭제 / 타증적 자료 첨부(내용참고)

■   KISA홈페이지 자료실에서 가이드라인 다운로드

URL : http://isms.kisa.or.kr/kor/notice/dataView.jsp?p_No=132&b_No=132&d_No=16

 

cp1373

 

■   제출서류

1. 개인정보보호 관리체계 인증신청서
2. 개인정보보호 관리체계 명세서
※ 2개월 이상 구축/운영 사실 및 업체 자가 진단결과(대책명세서) 포함
※’14년 12월까지 개정 전(118개 통제항목)/후(124개 통제항목) 인증기준 선택 가능
3. 법인사업자등록증 1부